以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

安全團隊:BSC Token Hub跨鏈交易驗證方式存在漏洞_POOL

Author:

Time:1900/1/1 0:00:00

10月7日消息,據BeosinEagleEye平臺監測顯示,BSCTokenHub10月7日遭遇黑客攻擊,Beosin安全團隊現將手法解析如下:幣安跨鏈橋BSCTokenHub在進行跨鏈交易驗證時,使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞,該漏洞可能允許攻擊者偽造任意消息。1)攻擊者先選取一個提交成功的區塊的哈希值2)然后構造一個攻擊載荷,作為驗證IAVL樹上的葉子節點3)在IAVL樹上添加一個任意的新葉子節點4)同時,添加一個空白內部節點以滿足實現證明5)調整第3步中添加的葉子節點,使得計算的根哈希等于第1步中選取的提交成功的正確根哈希6)最終構造出該特定區塊的提款證明BeosinTrace正在對被盜資金進行實時追蹤。

安全團隊:SUSHI RouteProcessor2 遭受攻擊,請及時撤銷對其的授權:金色財經報道,據慢霧安全團隊情報,2023年4月9日,SUSHI Route Processor2 遭到攻擊。慢霧安全團隊以簡訊的形式分享如下:

1. 根本原因在于 ProcessRoute 未對用戶傳入的 route 參數進行任何檢查,導致攻擊者利用此問題構造了惡意的 route 參數使合約讀取的 Pool 是由攻擊者創建的。

2. 由于在合約中并未對 Pool 是否合法進行檢查,直接將 lastCalledPool 變量設置為 Pool 并調用了 Pool 的 swap 函數。

3. 惡意的 Pool 在其 swap 函數中回調了 RouteProcessor2 的 uniswapV3SwapCallback 函數,由于 lastCalledPool 變量已被設置為 Pool,因此 uniswapV3SwapCallback 中對 msg.sender 的檢查被繞過。

4. 攻擊者利用此問題在惡意 Pool 回調 uniswapV3SwapCallback 函數時構造了代幣轉移的參數,以竊取其他已對 RouteProcessor2 授權的用戶的代幣。

幸運的是部分用戶的資金已被白帽搶跑,有望收回。慢霧安全團隊建議 RouteProcessor2 的用戶及時撤銷對 0x044b75f554b886a065b9567891e45c79542d7357 的授權。[2023/4/9 13:53:21]

安全團隊:Cyber Kongz項目的推特賬號和Discord服務器遭到攻擊:金色財經消息,據CertiK監測,Cyber Kongz項目的推特賬號和Discord服務器遭到攻擊。請社區用戶警惕釣魚陷阱,在服務器修復之前不要點擊任何鏈接。[2023/1/7 10:59:55]

安全團隊:NFT項目The Americans NFT Discord服務器遭攻擊:7月27日消息,據安全團隊CertiK監測,NFT項目The Americans NFT的Discord服務器遭到攻擊,攻擊者發布了釣魚鏈接。請社區用戶不要點擊、鑄造或批準任何交易。[2022/7/27 2:40:44]

Tags:POOLPOOOUTSWAPNorth America Poolpoolz幣值得投資嗎OutpostGSWAP幣

火幣APP下載
一文速覽ETHBogota黑客松12個獲勝項目_ETH

原文作者:比得潘、Jack(0x137),BlockBeats在此次Devcon活動期間,ETHGlobal同樣舉辦了自己的黑客松活動ETHBogota,并于今天公布了黑客松最終項目名單.

1900/1/1 0:00:00
深度還原BNBChain 遭攻擊前因后果,BN還安全嗎?_BNB

Binance智能鏈因擔心“潛在的漏洞”而暫停,BNB代幣下跌5%BNB區塊鏈可能成為價值約6億美元的攻擊目標.

1900/1/1 0:00:00
Beosin:XaveFinance項目遭受黑客攻擊事件分析_EOS

金色財經報道,據BeosinEagleEye平臺監測顯示,XaveFinance項目遭受黑客攻擊,導致RNBW增發了1000倍.

1900/1/1 0:00:00
周末BTC和ETH繼續陷入低流通狀態 長期持有籌碼繼續增加?_BTC

截止到今天上午9點的BTC持倉價格分布,從昨天晚上22點到現在歷時11個小時的BTC鏈上地址變化.

1900/1/1 0:00:00
如何判斷加密項目是否是騙局_區塊鏈

根據聯邦貿易委員會(FTC)的數據,自2021年以來,加密騙局已使人們損失了超過10億美元。 公眾號 關鍵要點 剛接觸加密貨幣的投資者更容易受到詐騙.

1900/1/1 0:00:00
綠色購物幣讓加密投資者興奮不已——預售價格突破 250萬美元_MPT

IMPT.io是一項旨在通過使用碳信用來降低碳排放的加密貨幣計劃,以及旨在鼓勵人們盡量減少碳足跡的創新社交媒體平臺.

1900/1/1 0:00:00
ads